China: possível violação de banco de dados da Polícia expõe informações pessoais de chineses

Imagem feita a partir de ilustração de domínio público criada por mohamed hassan com formato de PxHere.

No dia 30 de junho de 2022, “ChinaDan”, um hacker anônimo, pôs à venda um conjunto de dados contendo 23,88 terabytes (TB) de supostas informações pessoais de 1 bilhão de habitantes chineses pelo preço de 10 bitcoins (cerca de $200 mil dólares). O hacker postou o anúncio no site do Breach Forums, uma comunidade on-line de hacking, afirmando que obtiveram os dados do servidor da Polícia de Xangai. 

Enquanto as autoridades chinesas não confirmaram nem negaram o vazamento, alguns repórteres, incluindo Rachel Cheung da VICE World News e Karen Hao, do Wall Street Journal, contataram alguns indivíduos listados na amostra de dados, a fim de verificar a veracidade das informações. Todos aqueles que responderam às ligações confirmaram que os detalhes ali contidos estavam corretos.

Um hacker está vendendo supostas informações de 1 bilhão de cidadãos chineses roubadas da Polícia de Xangai. @rachelliang5602 e eu baixamos a amostra fornecida pelo hacker e ligamos para diversas pessoas da lista. Nove delas atenderam e confirmaram exatamente o que os dados diziam.

Segundo o Wall Street Journal, o vazamento de dados pode ter vindo do servidor em nuvem da Aliyun, uma empresa de computação em nuvem subsidiária do Grupo Alibaba.

ChinaDan alegou que o conjunto de dados continha informações pessoais de 1 bilhão de habitantes chineses, além de bilhões de registros de antecedentes criminais e casos policiais, incluindo nomes, endereços, datas, locais de nascimento, números de documento de identidade, números de celular etc.

O vendedor também liberou uma amostra com 750 mil itens, para que potenciais compradores pudessem verificar a veracidade dos dados. Se o conjunto de dados de 23,88 TB for verdadeiro, estaremos diante do maior vazamento de dados da história.

Pela análise da planilha de dados postada no Breach Forum, as informações vazadas vêm de sete base de dados e os 750 mil itens da amostra pertencem a três bases principais, que englobam 250 mil dados individuais, 250 mil registros de investigação policial e 250 mil registros de plataformas de administração pública ou comercial.

À medida que as notícias se espalhavam nas redes sociais, alguns internautas chineses começaram a testar a amostra liberada, mas não demorou muito para que as discussões e descobertas fossem censuradas nas redes sociais.

Indexação de conteúdo dos dados

Uma análise deletada do Zhihu, um site da China continental de perguntas e respostas, contém uma lista do conteúdo da amostra de dados de indivíduos e revelou que os arquivos de dados pessoais incluem: número de identidade, nome, endereço, local de nascimento, histórico escolar, estado civil, histórico militar, altura e peso, profissão, religião, orientação política e ficha criminal (tipos de crimes cometidos), além de arquivos fotográficos, como carteira de identidade, cartão de residente permanente, carteira de motorista e passaporte. Alguns dados continham, inclusive, informações a respeito da movimentação do usuário, por exemplo, passagens pela imigração, registros em hotéis, conexões com a internet em cafeterias, passagens por centros de detenção e penitenciárias, entre outros.

Os arquivos de dados de investigação criminal contêm informações sobre tempo e lugar de um crime, tipo de crime cometido, status da investigação, além de detalhes do caso, dados pessoais do seu relator, como número da identidade, nome e número do celular) e do responsável pelo caso (delegacia de polícia e número da carteira de trabalho).

Os dados, provenientes de plataformas comerciais, incluíam pedidos de compra e de entrega em domicílio, pagamentos, pedidos de alimentação, passagens e informações de viagem de usuários. Os dados das plataformas de administração pública, por sua vez, constavam análises forenses digitais, registros de investigação financeira, registros de imigração, informações de locais de entretenimento, diretivas de controle de tráfego, e detalhes de indivíduos classificados como pertencentes aos sete grupos-alvo (7類重點人員), termo que comumente se refere a potenciais terroristas, ativistas, criminosos, traficantes de drogas, foragidos, pessoas com deficiências mentais e peticionários. Também havia informações a respeito de investigações cibernéticas, casas de penhores, centros de detenção e penitenciárias, clínicas de reabilitação de dependentes químicos, documentos de proprietários de imóveis, registro de residente e registro domiciliar, população regular e atual, registros médicos, registros de uso de combustível etc.  

A lista de conteúdo do Zhihu se mostra consistente em relação às descobertas de outros, como @hackepoch, @Kingstarry4, @wenjun7011 e @williamlong, um conhecido blogueiro de tecnologia, entre outros.  

Um olhar mais aprofundado nos dados: população e controle de estabilidade

Alguns usuários já começaram a realizar pesquisas preliminares na amostra a fim de conhecer melhor a demografia da população chinesa. Yi Fuxian, demógrafo da Universidade de Wisconsin-Madison, ficou impressionado com os 250 mil itens de dados demográficos, uma vez que eles vinham de quase todos os distritos da China, incluindo aqueles com uma população menor do que 10 mil habitantes. Após se aprofundar na amostra de dados da pirâmide etária da população, bem como nas estatísticas acerca da aplicação da vacina BCG (contra a tuberculose), obrigatória em recém-nascidos, Yi concluiu que a crise demográfica chinesa foi subestimada, dado que estão nascendo menos crianças no país do que o sugerido pelo censo oficial de 2020.

Os dados da amostra também refletem a escala do controle de estabilidade na China. O blogueiro de tecnologia William Long, por exemplo, descobriu que, na amostra de 250 mil itens, 166 indivíduos estavam na lista dos sete grupos-alvo, o que leva a crer que mais de 660 mil pessoas podem ser alvos do controle estatal na China. O blogueiro também observou que, entre os 250 mil casos criminais, dois estavam ligados a crimes de opinião no Twitter. Assim, se os dados totalizam 1 bilhão de pessoas, é possível que haja até 8 mil casos relacionados à rede social.

Consequências: segurança individual e crise política

A violação de dados privados tem sido um problema sério para a China já faz algum tempo, como mostram os casos de vendas de dados em salas de chat clandestinas. Em 2020, por exemplo, autoridades da cidade de Zhuhai prenderam um homem que estava em posse de 120 gigabytes (GB) de arquivos de dados, os quais consistiam em 1 bilhão de dados de informações pessoais de cidadãos. Já em 2021, policiais da província de Jiangsu fecharam o cerco em uma sala de chat com 200 mil membros, cujo propósito era a venda de informações sobre indivíduos específicos. Além disso, o administrador do site possuía mais de 1 bilhão de dados pessoais.

Contudo, se confirmada, esta nova violação de dados seria como uma bomba nuclear em comparação com os vazamentos anteriores, relativamente pequenos.

Na internet, cidadãos já começaram a considerar o impacto do vazamento. Na rede social Weibo, algumas pessoas se mostram preocupadas com o surgimento de fraudes e extorsões, visto que os dados incluem informações pessoais e registros criminais. Muitos dissidentes chineses que estão no exterior se manifestaram no Twitter dizendo que acreditam que os dados podem enfraquecer a legitimidade do Partido Comunista da China, já que a busca por informações contidas neles pode acabar expondo o fracasso dessa política partidária. Um dos comentários mais perspicazes veio do conhecido arquiteto de softwares, Issac Mao:

…the data breach is a fresh new case of a dictator’s dilemma: the more you concentrate, the more you lose control.

…o vazamento de dados é um caso inédito do dilema do ditador: quanto mais você centraliza, mais você perde o controle.

Inicie uma conversa

Colaboradores, favor realizar Entrar »

Por uma boa conversa...

  • Por favor, trate as outras pessoas com respeito. Trate como deseja ser tratado. Comentários que contenham mensagens de ódio, linguagem inadequada ou ataques pessoais não serão aprovados. Seja razoável.